ГОСТ 57580 » История » Редакция 6
Редакция 5 (С. Антошкин, 13.12.2023 13:22) → Редакция 6/8 (С. Антошкин, 13.12.2023 14:07)
h1. ГОСТ 57580
{{TOC}}
!clipboard-202312131112-jiwef.png!
---
h2. Область применения ГОСТ 57580
Данный стандарт разработан с целью *развития и укрепления банковской системы* Российской федерации, развитие и обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и достаточного уровня защиты информации.
> Сами по себе Национальные стандарты ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 не определяют область своего применения «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», разработанные в конкретных организациях.
Область применения определятся нормативными актами 2017-2018 г., послужили логическим продолжением многолетней деятельности Банка России. В частности требования соответствия ГОСТу прописаны в:
* Положение №683-П Банка России
* Положение №757-П Банка России
* Положение №802-П Банка России
* Положение №719-П Банка России
* Положение №716-П Банка России
* Положение №742-П Банка России в сфере обеспечения информационной безопасности.
Базовый ГОСТ Р 57580.1-2017 определяет базовый состав организационных и технический мер защиты информации определен в ГОСТе 57580.1, и соответственно, способ *проверки соответствия (методика оценки соответствия)* определена в ГОСТе 57580.2.
технических мер, которые должны выполняться финансовыми организациями (кредитными организациями, некредитными финансовыми организациями, участниками Национальной платежной системы, участниками Единой биометрической системы), ГОСТ Р 57580.2-2018 устанавливает – методику проведения оценки соответствия, требования к методике и оформлению результатов оценки соответствия защиты информации финансовой организации при выборе и реализации организационных и технических мер предоставлению отчетности в соответствии с требованиями ЦБ РФ по итогам проведения аудита, формулы расчета уровня соответствия. ГОСТ 57580.
В область оценки соответствия защиты информации входит совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями Р 57580.2-2018 предназначен для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а так же услуг по осуществлению перемещений денежных средств частными и использования юридическими лицами. лицами, осуществляющими оценку соответствия.
Для оценки полноты соответствия системы Требование обеспечения уровня защиты информации существующему ГОСТу приняты уровни соответствия, от нулевого к пятому (где пятый – процессы реализуются в полном объеме на постоянной основе).
соответствии с ГОСТ 57580.1-2017 включено в Положения Банка России №683-П, №757-П, №747-П, №719-П.
---
h2. Каковы основные положения ГОСТ 57580?
Деятельности любой финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации. Данный риск является объективной реальностью, устранить его не представляется возможным на данный момент времени.
Понизить же вышеупомянутый риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить ряд определенных мер по защите данной информации.
Основными целями стандарта являются:
* *определение уровней защиты* информации и соответствующих им требований к содержанию базового состава организационных и технических мер защиты информации, применяемых финансовыми организациями для реализации *требований к обеспечению защиты информации*, установленных нормативными актами Центрального Банка России
* достижение адекватности *состава и содержания мер защиты информации*, применяемых финансовыми организациями, актуальным угрозам безопасности информации и уровню принятого финансовой организацией операционного риска
* обеспечение эффективности и возможности *стандартизированного контроля мероприятий по защите информации*, проводимых финансовыми организациями
---
h2. Уровень защиты информации по ГОСТ 57580
Итак, сначала рассмотрим стандарт Данный ГОСТ Р 57580.1-2017.Данный документ вводит несколько новых терминов:
* *контур безопасности* - совокупность IT-систем, использующихся для реализации бизнес-процессов единой степени важности, для которых применяется единый набор требований информационной безопасности;
* *уровень выделяет *три уровня* защиты информации* - совокупность мер защиты информации, применяемых в определенном контуре безопасности. Стандарт устанавливает три таких уровня: минимальный (3-ий), стандартный (2-ой) информации: *минимальный*, *стандартный* и усиленный (1-ый).
При этом в *усиленный*.
В финансовой организации могут существовать один или несколько контуров формируются контуры безопасности, для которых может быть установлен разный *уровень защиты информации*.
Вышеуказанный уровень защиты информации в зависимости от вида для каждого конкретного контура безопасности устанавливается нормативными актами Центрального Банка России.
Требования к уровню безопасности устанавливаются на основе оценки следующих параметров организации: *вида деятельности и размера организации, объема организации*, *объема финансовых операций, значимости операций*, *категории* (размера) организации и *значимости* конкретной организации для отечественного финансового рынка и национальной платежной системы.
Под объектом доступа системы в стандарте понимается аппаратное средство, а под ресурсом доступа - программное.. целом.
В документе организациям предлагается руководствоваться циклом Деминга (PDCA - Plan, Do, Check, Act) для повышения полноты и качества применяемых мер защиты информации: планировать, реализовывать, проверять и совершенствовать систему защиты информации в финансовой организации.
---
h2. Основные меры для финансовых организаций
В пункте 6.1 стандарта обозначена необходимость обеспечить:
* *идентификацию и учет объектов информатизации*, в том числе автоматизированных систем, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Центрального Банка России, устанавливающих обязательность применения его положений
* применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией *мер защиты информации*, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации
* применение выбранных финансовой организацией мер защиты информации, обеспечивающих *приемлемые для финансовой организации полноту и качество защиты информации*, входящих в систему организации и управления защитой информации
* применение выбранных финансовой организацией мер защиты информации, направленных на *обеспечение защиты информации на всех стадиях жизненного цикла* автоматизированной системы и приложений
* *оценку остаточного операционного риска* (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Центрального Банка России
Так же в рассматриваемом стандарте упоминается, что, в случае невозможности технической реализации отдельных выбранных мероприятий по защите информации, а также с учетом экономической целесообразности на этапах уточнения базового состава мероприятий могут разрабатываться иные компенсирующие меры.
Данные меры направлены на нейтрализацию угроз безопасности информации, определенных в *модели угроз*, и нарушителей безопасности информации финансовой организации.
Основой для реализации *правильного и эффективного способа минимизации* возможных финансово неприемлемых для вышеупомянутой организации операционных рисков, связанных *с нарушением безопасности* информации, являются принятые и контролируемые руководством финансовой организации документы.
Перечни технических ГОСТ 57580 регламентирует определенные требования к системе защиты информации и организационных базовому составу мер сгруппированы по тематике с указанием кодового обозначения для удобства использования стандарта. Базовый состав мер защиты информации устанавливает требования к восьми направлениям (процессам) информационной безопасности и их подпроцессам: ее обеспечению, таких как:
{{collapse(Процесс 1: Обеспечение защиты информации при управлении доступом)
* Подпроцесс: Управление учетными записями и правами субъектов логического доступа.
* Подпроцесс: Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа.
* Подпроцесс: Защита информации при осуществлении физического доступа.
* Подпроцесс: Идентификация и учет ресурсов и объектов доступа.
}}
{{collapse(Процесс 2: Обеспечение защиты вычислительных сетей)
* Подпроцесс: Сегментация и межсетевое экранирование вычислительных сетей.
* Подпроцесс: Выявление вторжений и сетевых атак.
* Подпроцесс: Защита информации, передаваемой по вычислительным сетям.
* Подпроцесс: Защита беспроводных сетей.
}}
{{collapse(Процесс 3: Контроль целостности и защищенности информационной инфраструктуры)
* Не содержит подпроцессов.
}}
{{collapse(Процесс 4: Защита от вредоносного кода)
* Не содержит подпроцессов.
}}
{{collapse(Процесс 5: Предотвращение утечек информации)
* Не содержит подпроцессов.
}}
{{collapse(Процесс 6: Управление инцидентами защиты информации)
* Подпроцесс: Мониторинг и анализ событий защиты информации.
* Подпроцесс: Обнаружение инцидентов защиты информации и реагирование на них.
}}
{{collapse(Процесс 7: Защита среды виртуализации)
* Не содержит подпроцессов.
}}
{{collapse(Процесс 8: Защита информации при осуществлении удаленного логического доступа с использованием мобильных переносных устройств)
* Не содержит подпроцессов.
}}
{{collapse(Раздел 8. Требования к организации и управлению защитой информации)
Каждая мера применяется к каждому из 8 процессов:
* базовый состав мер планирования процесса системы защиты информации.
* базовый состав мер по реализации процесса системы защиты информации.
* базовый состав мер контроля процесса системы защиты информации.
* базовый состав мер по совершенствованию процесса системы защиты информации.
}}
{{collapse(Требования требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.) приложений.
* реализация мер защиты информации на этапе «Создание (модернизация) систем»
* реализация мер защиты информации на этапе «Ввод в эксплуатацию систем»
* реализация мер защиты информации на этапе «Эксплуатация (сопровождение) систем»
* реализация мер защиты информации на этапе «Эксплуатация (сопровождение) и снятие с эксплуатации систем»
}}
---
h2. 57580.2
Цели аудита
* Объективная Область применения ГОСТ 57580
Данный стандарт разработан с целью *развития и независимая оценка выбора укрепления банковской системы* Российской федерации, развитие и реализации требований ГОСТ Р 57580.1-2017
* Определение организационных обеспечение стабильности национальной платежной системы. Одним из обязательных условий является обеспечение необходимого и технических мер для: достаточного уровня защиты информации.
** приведения в соответствие требованиям > Сами по себе ГОСТ Р 57580.1-2017 и Положений ГОСТ 57580.2-2018 не определяют область своего применения в конкретных организациях.
Область применения определятся нормативными актами Банка России России. В частности требования соответствия ГОСТу прописаны в:
** повышения уровня защищенности информации
Кто может провести аудит?
Лицензиаты ФСТЭК * Положение №683-П Банка России на деятельность по технической защите конфиденциальной информации как минимум по одному виду работ и услуг:
* контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации Положение №757-П Банка России
* проектирование в защищенном исполнении средств и систем информатизации Положение №802-П Банка России
* установка, монтаж, наладка, испытание, ремонт средств защиты информации Положение №719-П Банка России
Организации, обладающие необходимым уровнем компетенции
* Имеют опыт аудита на соответствие комплекса стандартов СТО БР ИББС, Положению Положение №716-П Банка России № 382-П
* Наличие Положение №742-П Банка России
Базовый состав организационных и технический мер защиты информации определен в штате специалистов, обладающих соответствующей квалификацией ГОСТе 57580.1, и сертификатами: соответственно, способ *проверки соответствия (методика оценки соответствия)* определена в ГОСТе 57580.2.
** Certified Information Systems Auditor (CISA)
** Certified Information Systems Security Professional (CISSP)
** Certified Information Security Manager (CISM)
Кого нельзя привлекать ГОСТ 57580.2-2018 устанавливает требования к аудиту?
* Организации, являющиеся зависимыми от проверяемой организации
* Организации, осуществлявшие или осуществляющие оказание услуг проверяемой организации в области реализации информатизации методике и оформлению результатов оценки соответствия защиты информации (в части внедрения и/или
сопровождения систем, средств, процессов информатизации финансовой организации при выборе и защиты информации, включенных реализации организационных и технических мер в соответствии с требованиями ГОСТ 57580.
В область аудита), и организации от них зависимые
Область оценки соответствия
* Совокупность защиты информации входит совокупность объектов информатизации, включая автоматизированные системы (АС) и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и или (или) технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также так же услуг по осуществлению переводов перемещений денежных средств
* Область оценки соответствия должна совпадать с областью применения ГОСТ Р 57580.1
* Количество частными и выборку проверяемых подразделений, объектов информатизации, АС и средств вычислительной техники, входящих в область юридическими лицами.
Для оценки соответствия, определяет аудитор самостоятельно с учетом предложений проверяемой организации
Положение о применимости
* Технологии, не используемые в проверяемой организации
* Нет необходимости для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей
* Определены компенсирующие меры при невозможности технической реализации мер защиты информации и (или) в случае отсутствия экономической целесообразности
Свидетельства
* Инструментальные средства сбора свидетельств полноты реализации мер соответствия системы защиты информации
* Документы и иные материалы в бумажном или электронном виде относящиеся существующему ГОСТу приняты уровни соответствия, от нулевого к обеспечению защиты информации
* Устные высказывания сотрудников проверяемой организации пятому (где пятый – процессы реализуются в процессе интервьюирования
* Результаты наблюдений аудиторов за процессами и деятельностью сотрудников
* Параметры конфигураций и настроек технических объектов информатизации и средств защиты информации
Оценки
раздел Система защиты информации
|_.Емзи|_.Вербальный показатель|
|1|Мера выбрана (при предъявлении свидетельств выбора)|
|0|Мера не выбрана (при отсутствии свидетельств выбора)|
раздел Организация и управление защитой информации
|_.Емоу|_.Вербальный показатель|
|1|Мера реализуется в полном объеме|
|0.5|Мера реализуется не в полном объеме|
|0|Мера полностью не реализуется|
раздел Защита информации объеме на этапах жизненного цикла
|_.Емас|_.Вербальный показатель|
|1|Мера на этапах жизненного цикла реализуется в полном объеме|
|0.5|Мера на этапах жизненного цикла реализуется не в полном объеме|
|0|Мера на этапах жизненного цикла полностью не реализуется| постоянной основе).
вставить формулы
Основные нарушения
▪ Осуществление логического доступа под учетными записями неопределенного целевого назначения
▪ Осуществление логического доступа под коллективными неперсонифицированными учетными записями
▪ Наличие незаблокированных учетных записей уволенных работников
▪ Отсутствие разграничения логического доступа
▪ Несанкционированное предоставление пользователям административных прав
▪ Несанкционированное предоставление пользователям прав логического доступа
▪ Хранение паролей субъектов доступа в открытом виде
▪ Передача аутентификационных данных в открытом виде по каналам и линиям связи
▪ Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации
▪ Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа
▪ Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа
▪ Отсутствие логической сетевой изоляции внутренних вычислительных сетей и сети Интернет и/или беспроводных сетей
▪ Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых проверяемой организацией, в открытом виде
▪ Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации
▪ Использование нелицензионного ПО
▪ Отсутствие применения средств защиты от воздействия вредоносного кода
▪ Обработка информации конфиденциального характера с использованием неучтенных МНИ
▪ Отсутствие гарантированного стирания информации конфиденциального характера с МНИ
▪ Отсутствие реагирования на инциденты
---
Для каждого из трех уровней защиты требование выполняется указанным способом:
• “Н” – реализация является необязательной;
• “О” – реализация путем применения организационной меры;
• “Т” – реализация путем применения технической меры.
Состав мер защиты может адаптироваться.
{{collapse(Пример требований)
|_.Мера защиты|_.Содержание мер системы защиты|_.УЗ3|_.УЗ 2|_.УЗ 1|
|УЗП.6|Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)|О|О|О|
|РД.12|Запрет множественной аутентификации с использованием одной учетной записи путем открытия параллельных сессий с разных АРМ|Н|Т|Т|
|ФД.6|Назначение для всех помещений распорядителя физического доступа|О|О|
|ВСА.9|Блокирование атак типа “Отказ в обслуживании” в масштабе времени, близком к реальному|Н|Т|Т|
|ЗБС.1|Аутентификация устройств доступа точками доступа по протоколу Wi-Fi|Т|Т|Т|
|ЦЗИ.16
|Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем ЗИ, системного ПО в случае нештатных ситуаций|О|О|О|
|ЗВК.13|Использование средств защиты от вредоносного кода различных производителей как минимумдля уровней АРМ и серверов|Т|Н|Н|
|ЗВК.14|Использование средств защиты от ВК различных производителей как минимумдля уровней АРМ, серверов и контроля трафика|Н|Т|Т|
|ПУИ.3|Блокирование неразрешенной и анализ разрешенной печати информации конфиденциального характера|Н|Т|Т|
|РИ.9|Выделение в составе ГРИЗИ следующих основных ролей: руководитель, оператор-диспетчер, аналитик, секретарь|Н|О|О|
|ЗСВ.27|Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптоключами|О|О|О|
|ЗУД.3|Предоставление удаленного доступа только с использованием мобильных устройств доступа, находящихся под контролем MDM|Н|Т|Т|
|ЗУД.11|Обеспечение защиты мобильных устройств от воздействий ВК|Т|Т|Т|
}}